Хакеры меняют стратегиюКиберпреступники, профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, предпочитая более эффективные и простые в управлении веб-серверы. Эксперты по информационной безопасности из "Лаборатории Касперского" и компании Highload Lab рассказали о том, почему это происходит, а также о некоторых других изменениях, произошедших в сфере DDoS-атак и борьбы с ними за последние годы. По данным экспертов из американской компании Prolexic Technologies, занимающейся отражением вредоносных атак, в четвертом квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% — с 5,2 до 5,9 Гбит. Российские эксперты в области борьбы с DDoS-атаками согласны с западными коллегами: количество таких инцидентов растет, и они становятся более изощренными. Руководитель проекта Kaspersky DDoS Prevention "Лаборатории Касперского" Алексей Афанасьев и генеральный директор компании Highload Lab (защита от DDoS-атак) Александр Лямин, рассказали, как атаки на "отказ в обслуживании" эволюционируют, кто является главными мишенями и чего ждать от данной угрозы в будущем. Серверы вместо обычных ПК До недавнего времени для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети (сети из зараженных компьютеров). Чем больше компьютеров заражено, тем более мощную атаку можно организовать — таким был основной мотив для строительства многомиллионной бот-сети. Однако поддерживать работоспособность достаточно крупной для мощных атак бот-сети — тяжелая задача, ведь злоумышленникам постоянно необходимо следить за тем, чтобы в онлайн-доступе было нужное количество зараженных компьютеров. Это, в свою очередь, означает, что потребуются постоянные траты на покупку новых "загрузок", то есть новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. В условиях постоянного роста числа компьютеров, на которых установлены коммерческие антивирусные продукты, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак, отмечает Алексей Афанасьев. "Если дорого и некомфортно иметь гигантский ботнет, его постоянно пополнять и поддерживать, то злоумышленник ищет более простые способы расположить источники своего нападения. Все чаще это выделенные серверы", — сказал эксперт. По словам Афанасьева, рост числа программного обеспечения для виртуализации серверов (создания виртуальной копии реального компьютера или сервера) и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак и просто ждут "заказа". "Принципы организации таких атак изменились. Вместо сотен тысяч рабочих станций — несколько серверов. Они производительнее, их быстрее и проще активировать", — отметил эксперт. С Афанасьевым согласен Александр Лямин, генеральный директор компании Highload Lab, занимающейся защитой от DDoS-атак. Он добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых инструментов анонимизации, которые ранее не были доступны. "Действительно, серверы используют все чаще, в том числе потому, что появился инструментарий, позволяющий генерировать пакеты с поддельными IP-адресами на высоких скоростях", — рассказал Лямин. Теоретически отразить DDoS-атаку можно, имея информацию об источниках вредоносного трафика — то есть IP-адресах, с которых к атакуемому сайту идет паразитный трафик. Однако использование инструментария для анонимизации затрудняет выявление таких источников и — как следствие — устранение самой атаки. При этом даже при наличии информации об источниках вредоносного трафика далеко не всегда удается отключить серверы, с которых он идет, отмечает Алексей Афанасьев. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер. "Наши партнеры рассказывали нам об атаке, в которой серверы управления бот-сетью находились в одной из стран Центральной Азии, сами серверы, с которых велись атаки, — в Турции и Европе, а цели атак — в США. Быстро закрыть такую бот-сеть или центр управления через прямое обращение к правоохранительным органам невозможно, поскольку злоумышленники выбрали страны, руководство которых крайне неохотно взаимодействует друг с другом. При этом преступники, как известно, границ не имеют", — рассказал Афанасьев. Высокие сезоны Как и прежде, больше всего атак происходит в периоды наибольшей бизнес-активности — в "высокие" сезоны в сфере торговли товарами и услугами. В году таких сезона два — с конца осени и до новогодних праздников, а также примерно с середины весны и до начала лета, в сезон отпусков. В предновогодний сезон под атаками оказываются интернет-магазины и сайты, предоставляющие востребованные в это время года услуги (замена и продажа зимней резины для автомобилей, например); в весенне-летний сезон хакеры переключают внимание на сайты туристических агентств, сервисов по продаже билетов, бронированию гостиниц и интернет-магазины с товарами, которые актуальны в этот период. Чаще всего причиной атак становится недобросовестная конкуренция. Бывают, впрочем, и сферы бизнеса, которые находятся под угрозой DDoS круглый год. "Банки, площадки для интернет-торговли и другие финансовые организации — их недоступность в любое время года ведет к репутационным и финансовым потерям. Тендеры переносятся на другие торговые площадки, а клиенты банков, столкнувшись с недоступностью личного кабинета, просто перенесут свои деньги в другой банк", — приводит примеры Афанасьев. Доступность DDoS-атак Тот факт, что профессионалы переключили свое внимание с развертывания миллионных бот-сетей на поиск и заражение более мощных и удобных для DDoS-атак серверов, не означает, что ботнеты и угрозы от них остались в прошлом. Бот-сети из зараженных компьютеров мельчают и становятся более доступными для неподготовленных хакеров, отмечает Александр Лямин. "Время бот-сетей-"миллионников" уходит. Максимум, что мы видим сейчас, — это сети из 200-300 тысяч компьютеров. Одновременно из-за наличия большого количества различных средств для создания бот-сетей в открытом доступе эта сфера становится очень конкурентной, и минимальная цена на атаку постоянно снижается", — рассказал Лямин. По его словам, сегодня организовать относительно заметную DDoS-атаку стало настолько просто, что это может сделать даже человек с минимальными представлениями о программировании. В результате чего растет количество относительно простых по принципу организации DDoS-атак, но эффективных против небольших компаний и сайтов. Такие атаки организованы далеко не профессионалами, но и они приносят результат как заказчикам в виде недобросовестных конкурентов из сферы малого бизнеса, так и исполнителям, получающим возможность заработать лишние несколько десятков долларов на карманные расходы. "Это в порядке шутки, конечно, но мы видим тенденцию роста именно таких несложных атак в период школьных каникул. Этакий высокий "школьный" сезон", — рассказал Александр Лямин. Мобильные бот-сети и социальные атаки Из наиболее интересных тенденций будущего DDoS-атак Лямин отмечает ботсети из мобильных устройств и "социальный" DDoS. "Мобильные ботнеты уже существуют, но из-за низкой пропускной способности каналов мобильного интернета использовать их для DDoS-атак бессмысленно. А вот для реализации различных мошеннических схем с платными SMS и похищением персональных данных такие сети уже используются", — рассказал Лямин. Впрочем, теоретически для атак мобильные бот-сети также могут быть применены. Но целью в этом случае будет не сайт компании или интернет-магазина, а сама мобильная сеть. "Большое количество мобильных устройств теоретически позволяет организовать такую атаку. Если кому-то понадобится вывести из строя сеть сотовой связи, с помощью достаточно большого мобильного ботнета он сможет это сделать. Пока таких случаев зарегистрировано не было, но в индустрии эту угрозу видят, судя по тому, что средства защиты от подобных атак уже существуют", — рассказал эксперт. Также эксперты ожидают нового витка в области так называемых социальных DDoS-атак, которые организовываются интернет-активистами, использующими торговую марку Anonymous, ради выражения политического протеста. Хакеры из этого движения обычно используют для атак программу Low Orbital Ion Cannon, которая по осознанным и добровольным действиям пользователя превращает компьютер в инструмент для DDoS-атак. По словам Лямина, эта программа эволюционирует. "Изначально LOIC была очень примитивной, и отфильтровать вредоносный трафик, который генерировался с ее помощью, было очень просто. В определенный момент она стала абсолютно неэффективной. Но сейчас мы видим новые вариации программы, в которых используются интересные технологии, позволяющие обойти известные защитные механизмы сайтов. Распознать такой трафик все еще довольно просто, но уже не так, как раньше", — сказал эксперт. По мнению Лямина, в целом будущее DDoS-атак "безоблачно". Для действительно эффективного решения проблемы придется серьезно переработать основные протоколы передачи данных используемые сетью. По словам эксперта, к сожалению, внедряемый сейчас новый протокол IPv6 не вводит никаких новых механизмов для противодействия этому явлению. Лямин выразил надежду, что у инженерного сообщества получится сформулировать и реализовать необходимый набор инструментов к появлению следующей версии протокола IP, но произойдет это даже не в этом десятилетии. "До тех пор атаки будут здесь, пока они будут в состоянии сгенерировать финансовую выгоду для заказчиков и исполнителей. До тех пор пока инфраструктура интернета серьезно не поменяется и не сделает DDoS-атаки невозможными. Это требует переработки базовых протоколов интернет-маршрутизации и самих протоколов передачи данных. Пока это не будет сделано, ничего здесь не изменится", — резюмировал Александр Лямин.
Распечатано с HostDB.ru.
|